搜索
第9章木马攻击与防御技术张玉清国家计算机网络入侵防范中心2019/11/10网络入侵与防范讲义2本章内容安排9.1木马概述9.2木马的实现原理与攻击步骤9.3木马实例介绍9.4木马的防御技术9.5木马的发展趋势9.6小结2019/11/10网络入侵与防范讲义39.1木马概述9.1.1木马基本概念9.1.2木马的分类9.1.3木马的特点2019/11/10网络入侵与防范讲义49.1.1木马基本概念木马的来由木马的定义木马的危害(1).木马的来由木马是“特洛伊木马”(trojanhorse)的简称,据说这个名称来源于希腊神话《木马屠城记》。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。2019/11/10网络入侵与防范讲义5特洛伊木马的故事相传在古希腊时期,特洛伊王子帕里斯劫走了斯巴达美丽的王后海伦和大量的财物。斯巴达国王组织了强大的希腊联军远征特洛伊,但久攻不下。有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,同时命令大部队佯装撤退而将木马弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士出来开启城门及四处纵火,城外伏兵涌入,部队里应外合,彻底攻破了特洛伊城。后世称这只大木马为“特洛伊木马”。2019/11/10网络入侵与防范讲义62019/11/10网络入侵与防范讲义72019/11/10网络入侵与防范讲义8(2).木马的定义在计算机系统中,“特洛伊木马”指系统中被植入的、人为设计的程序,目的包括通过网络远程控制其他用户的计算机系统,窃取信息资料,并可恶意致使计算机系统瘫痪。2019/11/10网络入侵与防范讲义9RFC1244对特洛伊木马的定义RFC1244(RequestforComments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”2019/11/10网络入侵与防范讲义10RFC1244对特洛伊木马的定义(2)RFC1244的定义虽然不十分完善,但是可以澄清一些模糊概念:首先木马程序并不一定实现某种对用户来说有意义或有帮助的功能,但却会实现一些隐藏的、危险的功能;其次木马所实现的主要功能并不为受害者所知,只有程序编制者最清楚。第三,这个定义暗示“有效负载”是恶意的。2019/11/10网络入侵与防范讲义11大多数安全专家对特洛伊木马的定义目前,大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。”2019/11/10网络入侵与防范讲义12(3).木马的危害根据传统的数据安全模型的分类,木马程序的企图可以对应分为三种:试图访问未授权资源;试图阻止访问;试图更改或破坏数据和系统。(3).木马的危害目前木马常被用作网络系统入侵的重要工具和手段。木马利用自身所具有的植入功能,或依附其它具有传播能力的程序等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。2019/11/10网络入侵与防范讲义14(3).木马的危害感染了木马的计算机将面临数据丢失和机密泄露的危险。木马往往又被用做后门,植入被攻破的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中散发木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击(DDoS)等提供可能。2019/11/10网络入侵与防范讲义15(3).木马的危害大型网络服务器也面临木马的威胁,入侵者可通过对其所植入的木马而偷窃到系统管理员的口令。而当一个系统服务器安全性较高时,入侵者往往会通过首先攻破庞大系统用户群中安全性相对较弱的普通电脑用户,然后借助所植入木马获得有效信息(如系统管理员口令),并最终达到入侵系统目标服务器的目的。2019/11/10网络入侵与防范讲义16(3).木马的危害木马程序具有很大的危害性,主要表现在:自动搜索已中木马的计算机;管理对方资源,如复制文件、删除文件、查看文件内容、上传文件、下载文件等;跟踪监视对方屏幕;直接控制对方的键盘、鼠标;随意修改注册表和系统文件;共享被控计算机的硬盘资源;监视对方任务且可终止对方任务;远程重启和关闭机器。2019/11/10网络入侵与防范讲义179.1.2木马的分类从木马技术发展的历程考虑,木马技术自出现至今,大致可以分为四代:第一代木马是伪装型病毒,将病毒伪装成一个合法的程序让用户运行,例如1986年的PC-Write木马;第二代木马在隐藏、自启动和操纵服务器等技术上有了很大的发展,可以进行密码窃取、远程控制,例如BO2000和冰河木马;第三代木马在连接方式上有了改进,利用端口反弹技术,例如灰鸽子木马;第四代木马在进程隐藏方面做了较大的改动,让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程中完成,例如广外男生木马。2019/11/10网络入侵与防范讲义189.1.2木马的分类从木马所实现的功能角度可分为:(1).破坏型(2).密码发送型(3).远程访问型(4).键盘记录木马(5).DoS攻击木马(6).代理木马(7).FTP木马(8).程序杀手木马(9).反弹端口型木马2019/11/10网络入侵与防范讲义19(1).破坏型惟一的功能就是破坏并且删除文件,如电脑上的DLL、INI、EXE文件或其它类型文件,造成系统损坏,用户数据被破坏。功能简单,容易实现,破坏性强。2019/11/10网络入侵与防范讲义20(2).密码发送型找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多木马可以寻找到这些敏感信息,把它们送到黑客手中。2019/11/10网络入侵与防范讲义21(3).远程访问型使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。这类程序可以实现观察受害者正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。2019/11/10网络入侵与防范讲义22(4).键盘记录木马记录受害者的键盘敲击并且在日志文件里查找可能的密码。这种木马随着Windows的启动而启动。它们有在线和离线记录这样的选项,顾名思义,它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键,种植木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息!当然,对于这种类型的木马,邮件发送功能也是必不可少的。2019/11/10网络入侵与防范讲义23(5).DoS攻击木马随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件时为止。2019/11/10网络入侵与防范讲义24(6).代理木马黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的。因此,给被控制的“肉鸡”种上代理木马,让其变成攻击者发动攻击的跳板,就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。2019/11/10网络入侵与防范讲义25(7).FTP木马这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。2019/11/10网络入侵与防范讲义26(8).程序杀手木马上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm、NortonAnti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用。2019/11/10网络入侵与防范讲义27(9).反弹端口型木马木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的普通木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。反弹端口型木马(2)反弹窗口木马定时监测控制端的存在,发现控制端上线,立即弹出端口主动连结控制端打开的被动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCPUserIP:1026ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。2019/11/10网络入侵与防范讲义282019/11/10网络入侵与防范讲义299.1.3木马的特点一个典型的特洛伊木马(程序)通常具有以下四个特点:有效性隐蔽性顽固性易植入性一个木马的危害大小和清除难易程度可以从这四个方面来加以评估。2019/11/10网络入侵与防范讲义30有效性由于木马常常构成网络入侵方法中的一个重要内容,它运行在目标机器上就必须能够实现入侵者的某些企图。因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。因此有效性是木马的一个最重要特点。2019/11/10网络入侵与防范讲义31隐蔽性木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。因此可以说隐蔽性是木马的生命。2019/11/10网络入侵与防范讲义32顽固性当木马被检查出来(失去隐蔽性)之后,为继续确保其入侵有效性,木马往往还具有另一个重要特性——顽固性。木马顽固性就是指有效清除木马的难易程度。若一个木马在检查出来之后,仍然无法将其一次性有效清除,那么该木马就具有较强的顽固性。2019/11/10网络入侵与防范讲义33易植入性任何木马必须首先能够进入目标机器,因此易植入性就成为木马有效性的先决条件。欺骗是自木马诞生起最常见的植入手段,因此各种好用的小功能软件就成为木马常用的栖息地。利用系统漏洞进行木马植入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具有类似蠕虫的传播性,这也就极大提高了木马的易植入性。2019/11/10网络入侵与防范讲义349.1.3木马的特点此外,木马还具有以下辅助型特点:自动运行欺骗性自动恢复功能的特殊性2019/11/10网络入侵与防范讲义35自动运行通常木马程序通过修改系统的配置文件或注册表文件,在目标系统启动时就自动加载运行。这种自动加载运行不需要客户端干预,同时也不会被目标系统用户所觉察。2019/11/10网络入侵与防范讲义36欺骗性木马程序要达到其长期隐蔽的目的,就必需采取各种各样的欺骗手段,欺骗目标系统用户,以防被发现。比如木马程序经常会采用一种文件名的欺骗手段,如exploer这样的文件名,以此来与系统中的合法程序explorer相混淆。木马的编制者还在不断制造新的欺骗的手段,花样层出不穷,让人防不胜防。2019/11/10网络入侵与防范讲义37自动恢复现在很多木马程序